OpenPNE3認証プラグインとパスワードについて

OpenPNE3認証プラグインとパスワードについて
0
tejima @tejima

最終的には本線が規定すべきですが、どんなフォーマットのAPIがいいか?というところは、いろいろ模索してからにしたい。ほしい物を使いやすく出すのがAPI RT @77web: うーん。jsでフォーム描画するプラグインをサクッと作ってあげても良いのだが、本来プラグイン

2011-06-06 10:46:53
ななうぇぶ @77web

@tejima 外部ログインページ設定がコアに含まれている以上、今はまだでもいずれコアに取り込むべきだと思うのですが。csrfを守りつつ外部に埋め込み可能にするにはjavascriptしかないと思い書いてみました。 https://gist.github.com/1009593

2011-06-06 10:49:19
tejima @tejima

@77web 今コアに入っているものが、本当にコアにいるべきか?というのは考えたいです。一方で、今コアだからコアにという主張はまったくもって正しいです。

2011-06-06 10:53:17
tejima @tejima

@77web CSRFによる強制退会を抑止するには、確認画面を挟む、captchaを挟むのいずれかで行けますね。うーんそもそも、この議論をするオフィシャルの場所を作らないと行けないな。。。どこがいいんだろう?

2011-06-06 11:50:44
ななうぇぶ @77web

@tejima csrfだけなら退会時に単純に確認画面を挟んでtokenを1個噛ませれば良いのですが、重大な動作にはそれでもやはり依然としてパスワード要求が望ましいというセキュリティ理論がありますよね。あとソーシャルハッキング(妻が勝手に夫のPCでSNS退会する)予防の意味。

2011-06-06 11:57:42
tejima @tejima

@77web 妻が勝手に夫の問題は、少なくともSNSのデフォルトレベルで入れる必要はないかな。 WIFE_PROTECTION機能をプラグインで”追加”すればいい、という考えです。プラットフォーム自体が過保護になる必要はない。

2011-06-06 13:03:19
ななうぇぶ @77web

@tejima 確かに、退会フォームのpre_executeを取ればプラグインからでも挙動を変更できますね

2011-06-06 13:06:18
tejima @tejima

@77web ふむふむ、できるなら、パスワード強制の必要性は薄れると思うんで、次回の仕様でUPDATEしたいんだけど、OpenPNEプロジェクトの正式の議論場所決めないとな。退会パスワードをスキップするパッチと、復活するプラグインをセットにして提案すればいいのかな。

2011-06-06 13:21:33
ななうぇぶ @77web

@tejima opAuthOpenIDPluginを作っている方に、この方式への変更検討をお願いしたらどうでしょう。opAuthWithTwitterPluginは私もフォークして色々改造してますので、そのうち退会時再認証(パスワード不要)を作ってみます。

2011-06-06 14:18:33
tejima @tejima

@77web 議題にします。検討項目はどんなもんでしょう?

2011-06-06 14:25:07
ななうぇぶ @77web

@tejima 退会時にパスワードを要求する代わりに再認証(http://bit.ly/inAANa)が導入可能かどうか?→もし可能なら、退会時のパスワード要求の代わりに再認証を行う(プラグイン側で)ことにし、登録時のパスワード登録をなくすように変更をお願いしたい。

2011-06-06 14:28:24
ななうぇぶ @77web

@tejima 続き)先ほども書きましたが、イベントを使えばコアの仕様変更でなく、全てプラグイン側でできると思います。また、現状のパスワード利用の「退会」をopAuthMailAddressPlugin側に移動できないか?というのも併せて検討する必要があるのではと(コアの議題?)

2011-06-06 14:29:52
tejima @tejima

@77web クリアにポイントが分かりました。今認証ドライバを書いているのは自分と77webさんが多いので、認証ドライバを書いている身としては、パスワード退会をAuthMailAddress側に移動したほうがいい、という提案だということですよね。

2011-06-06 14:31:47
ななうぇぶ @77web

@tejima コアに対する提案としてはそうなりますね。最終的には登録時のauthModeを使ってプラグイン側で用意している退会アクションを判別し、そこに飛ばすようにすれば良いと思います。まずはバンドルされているopAuthOpenIDPluginで対応が可能かどうか。

2011-06-06 14:33:53
tejima @tejima

@77web 議論でお願い、調整するというよりは、勝手に実装&ユーザー人気で進めていくほうがいいんじゃないかな。 opAuthOpenIDPluginは自分がフォークして、実装すればいいわけよね。人気が出てからその仕様を本線でも採用するという形がいいんじゃないか。

2011-06-06 14:43:29
ななうぇぶ @77web

@tejima とすると、バンドルと同じ名前だとOpenPNE Pluginsで公開できないので、勝手にフォークして作った分は公式SNS等で宣伝して人柱を募ることになりますね…。私は次の案件と案件の谷間になったらまずWithTwitterでやってみるつもりでs。

2011-06-06 15:13:15
tejima @tejima

そういうもんだと思います。opBetterAuthOpenIDPluginなんて名前つけて、つかってもらうんじゃないかな。 RT @77web: @tejima とすると、バンドルと同じ名前だとOpenPNE...

2011-06-06 15:24:02

いま話題のタグ

岸辺露伴は動かない86 弁当339 話題15049 ゴジラ-1.029 脱毛70 らーめん再遊記6 マンガ41650 ねこ2433 AIイラスト262 子育て2735 岸田メル63 ワールドトリガー866 パソコン2124 同人1993 草津62